Il disegno di legge che istituisce un perimetro di sicurezza nazionale cibernetica, approvato dal Consiglio dei Ministri il 19 luglio 2019, mira a disciplinare in modo più ampio e organico la materia della cybersecurity, nell’intento di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati. L’attuazione del perimetro è demandata, con scadenze temporali diversificate, a tre DPCM adottati su proposta del Comitato interministeriale per la sicurezza della Repubblica - CISR ed ad un regolamento ministeriale. Come funzionerà il nuovo sistema di vigilanza e controllo?

Nell’epoca della cyberwar, i pericoli da cui uno Stato deve difendersi sono tanti, dagli attacchi di terroristi informatici al furto di dati: per questo il Consiglio dei Ministri, nella seduta del 19 luglio 2019, su proposta del premier Giuseppe Conte, ha approvato un disegno di legge che propone l’istituzione di un “perimetro di sicurezza nazionale cibernetica” per prevenire pregiudizi che possono derivare a reti, sistemi informativi e servizi informatici di cui si avvale l’apparato istituzionale - amministrativo del Paese da vari rischi, quali un malfunzionamento o una semplice interruzione, anche se parziali, del servizio o ancora un utilizzo improprio di tali reti.

Il Ddl risponde, quindi, all’esigenza di apprestare misure e procedure idonee a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi consentendo la fruizione dei più avanzati strumenti offerti dalle tecnologie dell'informazione e della comunicazione.

Il progetto sul “perimetro di sicurezza nazionale cibernetica” detta in primis i criteri per la definizione delle finalità del “perimetro” e delle modalità di individuazione sia dei soggetti pubblici e privati che ne fanno parte sia delle rispettive reti, sistemi informativi e servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica.

L'attuazione del “perimetro” è demandata, con scadenze temporali diverse, a tre decreti adottati su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR):

1) entro 6 mesi dall’entrata in vigore dalla legge sul “perimetro” dovrà essere adottato un primo DPCM, che dovrà individuare i soggetti rientranti nel perimetro e i criteri per la formazione degli elenchi delle reti, dei sistemi e dei servizi rilevanti. L’elaborazione dei criteri è affidata al Cisr-tecnico con la partecipazione di un rappresentante di Agid.

2) entro 12 mesi, un secondo DPCM fisserà termini e modalità attuative delle procedure di notifica degli incidenti, delle misure volte garantire un elevato livello di sicurezza delle reti e dei servizi rilevanti;

3) entro 12 mesi, un regolamento (DM) sulle comunicazioni al CVCN.

I DPCM potranno essere aggiornati “con cadenza almeno biennale”.

E’ prevista l’istituzione di un meccanismo per un procurement più sicuro per i soggetti inclusi nel perimetro che procedano all'affidamento di forniture di beni e servizi ICT destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti.

Il disegno di legge individua le competenze:

- del Ministero dello Sviluppo Economico (MiSE), per i soggetti privati inclusi nel perimetro;

- dell'Agenzia per l'Italia Digitale (AgID), per le amministrazioni pubbliche e i soggetti di cui all'art. 29 del D.Lgs. n. 82/2005 (Codice dell'amministrazione digitale) inclusi nel perimetro.

Più in dettaglio, il MiSE sarà:

- l’autorità competente con poteri ispettivi e sanzionatori (per i settori energia, infrastrutture digitali e per i servizi digitali) e depositario dell'elenco degli operatori di servizi essenziali ai sensi del D.Lgs. n. 65/2018 (recepimento direttiva NIS);

- l’autorità di riferimento con poteri ispettivi e sanzionatori verso i fornitori di servizi di comunicazione elettronica (D.Lgs. n. 259/2003), e correlate disposizioni attuative (quali il “decreto Telco”);

- l’organismo di certificazione e sicurezza informatica presso cui è stato istituito il Centro di valutazione e certificazione nazionale, CVCN (DPCM 17 febbraio 2017).

Previsto inoltre un raccordo tra le autorità titolari delle attribuzioni del ddl e il Dipartimento delle informazioni per l'Organo del MinInterno per la sicurezza e la regolarità dei servizi di telecomunicazione, quale autorità di contrasto del terrorismo internazionale.

Viene disposta la semplificazione della procedura di notifica di incidente per i soggetti (OSE, FSD e operatori ‘Telco') che siano a un tempo inclusi nel perimetro e sottoposti agli obblighi stabiliti dal D.Lgs. n. 65/2018 o dal D.Lgs. n. 259/2003.

Il Ddl propone l’istituzione di un sistema di vigilanza e controllo sul rispetto degli obblighi introdotti in cui AgID e MiSE svolgano attività di ispezione e verifica e impartiscano, ove necessario, le opportune prescrizioni.

Per i dipendenti pubblici ci sarà una valutazione della responsabilità disciplinare e amministrativo-contabile. Una specifica disciplina è stata prevista per le reti, i sistemi e i servizi rilevanti connessi alle seguenti funzioni: prevenzione e repressione dei reati; tutela dell'ordine e della sicurezza pubblica; difesa e sicurezza militare dello Stato; prevenzione e contrasto del crimine informatico.

Il disegno di legge prevede quali sanzioni per i soggetti pubblici e privati ricadenti nel perimetro:

- per la mancata redazione (almeno) annuale di un elenco di reti, sistemi informativi e servizi informatici sensibili di propria pertinenza, una sanzione da 200 mila a euro 1milione e 200 mila euro;

- per la mancata o tardiva notifica di incidenti informatici, o di inosservanza delle misure di sicurezza, mancata collaborazione con i Centri e omesso adempimento delle prescrizioni, una sanzione dai 250mila a 1 milione e mezzo di euro;

- per l’omessa comunicazione ai Centri di voler procedere all’affidamento di forniture di beni, sistemi e servizi Ict per i servizi identificati come essenziali, o ancora per l’impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici cruciali senza il rispetto delle condizioni previste o senza aver superato i test, una sanzione dai 300mila a 1 milione e 800mila euro.

In caso di inottemperanza alle condizioni o esito sfavorevole dei test, “la stipula del contratto non produce effetto” con divieto alle parti di darvi anche provvisoria esecuzione: i soggetti che avessero disposto l’affidamento del contratto diverrebbero incapaci “ad assumere incarichi di direzione, amministrazione e controllo nelle società aventi ad oggetto, anche se non principale, attività afferenti alle tecnologie dell’informazione e della comunicazione”, per tre anni dall’accertamento della violazione.

- reclusione (da uno a cinque anni di carcere) e responsabilità dell’ente ex D.Lgs. n. 231/2001 (sanzione pecuniaria fino a 400 quote) per informazioni, esposizioni di fatti e dati non veritieri, allo scopo di ostacolare o condizionare le comunicazioni richieste nell’ambito dei procedimenti o delle attività ispettive e di vigilanza.

Fonte: http://www.ipsoa.it/documents/impresa/contratti-dimpresa/quotidiano/2019/07/27/cybersecurity-funzionera-perimetro-sicurezza-nazionale